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1. Inleiding 

7.7 Privacy, privésfeer of persoonlijke levenssfeer? 

Bij de uitvoering van haar publieke taken verwerkt de gemeente persoonsgegevens van haar inwoners. 
De gemeente Alphen aan den Rijn vindt het belangrijk dat die verwerkingen zorgvuldig en rechtmatig 
plaatsvinden. Daartoe is voorafgaand aan de fusie al een aanvang gemaakt door een Quick Scan op 
de privacy te laten uitvoeren. Deze Scan beschrijft dan wel de situatie van voor de fusie, maar is inmiddels 
met het oog op de organisatie van nu geactualiseerd . De Scan kan een beginpunt naar een algemeen pri¬ 
vacybeleid zijn,waarbij voor ogen gehouden moet worden dat bijvoorbeeld het Informatiebeveiligings- 
beleid al tot stand is gekomen. Uitgangspunt bij het Algemeen privacybeleid is dat het college van 
burgemeester en wethouders (het college) de kaders voor de verwerking van persoonsgegevens 
binnen de gemeente Alphen aan den Rijn en de bescherming van en omgang met deze gegevens for¬ 
muleert. Tot voor kort bevonden wij ons in een situatie waarin onze bewerkingen gedekt werden door 
de wet en daarmee rechtmatig waren. Maar die rechtmatigheid volstaat niet meer. Met deze notitie 
willen wij verdergaande waarborgen inbouwen. Deze notitie vormt het stappenplan daarheen. 

Definitie 

Bij de bescherming van privacy gaat het veelal om het zorgvuldig omgaan met persoonsgegevens. Per¬ 
soonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare persoon dus bij¬ 
voorbeeld een naam, adresgegevens of een e-mailadres, maar ook meer indirecte gegevens kunnen per¬ 
soonsgegevens zijn. Het gaat erom dat de gegevens betrekking hebben op een persoon wiens identi¬ 
teit door de gemeente zonder onevenredige inspanning kan worden vastgesteld. 

Privacy betekent kort gezegd respect voor de persoonlijke levenssfeer van een individu. Om te voorko¬ 
men dat een onnodige of te vergaande inbreuk wordt gemaakt op de persoonlijke levenssfeer, is on¬ 
der meer bij wet voorzien in de nodige waarborgen. 

Ontwikkelingen 

Inmiddels is al een aantal juridisch technische bergingen tot stand gekomen, zoals het al aangehaalde 
Informatiebbeveilgingsbeleid. Maar ook de Beheersregeling Suwinet en de Beheersregeling BRP mogen 
niet onvermeld blijven en zijn verbonden aan dit Algemeen privacybeleid. 

De decentralisaties in het sociale domein betekenden een toename van het aantal verwerkingen. Daar¬ 
naast gaat het in het sociale domein vaak om bijzondere persoonsgegevens, zoals informatie over 
de gezondheid van inwoners. Het belang van de bescherming van de persoonlijke levenssfeer 
wordt daarmee des te groter. Om die reden is, vooruitlopend op het algemeen privacybeleid, eerst het 
Privacyreglement Sociaal Domein voor de gemeente Alphen aan den Rijn vastgesteld. 

Ook Europees gezien wordt het belang van bescherming van persoonsgegevens gevoeld. De Algemene 
Verordening Gegevensbescherming (AVG), een Europese verordening ter vervanging van alle natio¬ 
nale privacywetgeving, is in voorbereiding en zal naar het zich laat aanzien rond 2018 in werking treden. 
Dat nationaal al geanticipeerd wordt op dit beleid blijkt uit de aanstaande wijziging van de Wet bescher¬ 
ming persoonsgegevens (Wbp) waarin de meldplicht voor datalekken is opgenomen en die het College 
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Bescherming Persoonsgegevens (CBP) boetebevoegdheid geeft. Deze specifieke wetswijziging vraagt 
ons het Privacybeleid op dit moment onder de loep te nemen, de aanpassing aan de AVG kan richting 
2018 ingepland worden. 


2. Uitgangspunten 

2.1 Wet bescherming persoonsgegevens 

De verwerking van persoonsgegevens moet met respect voor de persoonlijke levenssfeer van betrok¬ 
kene plaatsvinden. Voorkomen moet worden dat er onnodige ofte vergaande inbreuken worden gemaakt. 
De Wet bescherming persoonsgegevens biedt hiervoor het wettelijk kader. Als algemene re¬ 
gel geldt dat persoonsgegevens op behoorlijke en zorgvuldige wijze moeten worden verwerkt. De Wbp 
bepaalt verder dat persoonsgegevens alleen voor een specifiek doel mogen worden verzameld en ge¬ 
bruikt. Maar ook, dat deze gegevens niet langer mogen worden bewaard dan noodzakelijk om het doel 
waarvoor ze zijn verzameld te realiseren. In aanvulling daarop, of in voorkomende gevallen ter vervan¬ 
ging van de Wbp, bevat andere wetgeving soms een specifiek regime voor gegevensverwerking. Zo 
is niet de Wbp maar de Wet basisregistratie personen van toepassing op onze verwerkingen in het ka¬ 
der van de basisregistratie personen. 

De Wbp en andere bij wet geregelde regimes vormen het formele kader dat Alphen aan den Rijn hanteert. 
De gemeente geeft met dit algemene privacybeleid verdere invulling aan de verplichtingen en bevoegd¬ 
heden die uit de Wbp voortvloeien. In dit beleid worden de formele kaders vertaald naar de gemeente¬ 
lijke organisatie en haar medewerkers. 

2.2 Zorgvuldig en werkbaar 

Alphen aan den Rijn beschikt ter uitvoering van haar publieke taken over een groot aantal persoonsge¬ 
gevens. Deze gegevens worden door de inwoners van onze gemeente veelal vrijwillig, maar soms ook 
onvrijwillig afgestaan. Het betreft soms vertrouwelijke gegevens. De beschikbaarheid, integriteit en 
vertrouwelijkheid van deze gegevens moet worden gewaarborgd. Inwoners moeten er met andere woor¬ 
den op kunnen vertrouwen dat hun persoonsgegevens in goede handen zijn. Voor de gemeente Alphen 
aan den Rijn staat het zorgvuldig verwerken en beheren van persoonsgegevens voorop. 

Het waarborgen van de persoonlijke levenssfeer en de daaruit voortvloeiende wet- en regelgeving, 
moet tegelijkertijd aan een goede en tijdige uitvoering van de gemeentelijke taken, bijvoorbeeld bij zorg¬ 
verlening of in het kader van de openbare orde en veiligheid, niet in de weg staan. Het beleid voor de 
verwerking van persoonsgegevens mag dan ook niet zodanig ingewikkeld of rigide zijn dat het aan 
de zorg- en dienst-verlening in de weg staat. 

Zorgvuldigheid gaat verder dan beheer en opslag; het ziet ook op de wijze waarop medewerkers met 
de gegevens omgaan. Met het oog op de controle en juistheid van de gegevens streeft de gemeente 
zoveel mogelijk naar het benutten van één bronsysteem voor gegevensverwerking. Dit laat onverlet 
dat, waar nodig in aanvulling op het bronsysteem, ook een ander separaat systeem kan worden gebruikt. 
Veel gebruikte gegevens (zoals gezinssamenstelling, inkomen, arbeidsverleden, uitkeringen, onderwijs- 
gegevens, zorgindicaties) zijn te verkrijgen uit de basisregistraties of andere authentieke bronnen. Dit is in 
overeenstemming met het principe van 'eenmalige uitvraag en meervoudig gebruik' dat door 
de overheid en de gemeente wordt gepropageerd. 

2.3 Transparant 

Om vertrouwen in de zorgvuldige verwerking van de gemeente Alphen aan den Rijn van persoonsge¬ 
gevens te kunnen hebben, moeten inwoners inzicht krijgen in de wijze waarop deze gegevens worden 
verwerkt en beheerd. Voor de inwoners van de gemeente Alphen aan den Rijn moet duidelijk zijn: 
welke gegevens worden verzameld; 
waarom deze gegevens worden verzameld; 
wat vervolgens met deze gegevens gebeurt; 
wie toegang heeft tot deze gegevens. 


Transparantie staat dus voorop, maar is tegelijkertijd niet absoluut. In uitzonderingsgevallen kan ver¬ 
trouwelijkheid geboden zijn. Vijvoorbeeld bij kwesties van openbare orde en veiligheid. Alphen aan 
den Rijn staat voor transparantie en kenbaarheid. Toch behouden wij ons ook de ruimte voor om, waar 
dat nodig is om een publieke taak uit te voeren, maatwerk te bieden. 

In dit verband streven wij er dan ook naar om, wederom waar mogelijk, in samenspraak met de inwo¬ 
ners afspraken te maken over de verwerking van persoonsgegevens. 

2.4 En nieuw beleid? 

Bij de invoering van nieuw beleid of regelgeving weegt de gemeente Alphen aan den Rijn de bescherming 
van de persoonlijke levenssfeer mee. Eén van de instrumenten om dit te doen, is de uitvoering van 
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een zgn. Privacy Impact Assessment (hierna: PIA). Bijvoorbeeld bij de uitvoering van nieuwe taken of 
de aanleg van nieuwe ICT systemen, kan het wenselijk zijn vooraf een PIA uit te voeren. Het college 
besluit van geval tot geval over de noodzaak daarvoor. . 

De volgende indicatoren zullen daarbij als toetsingskader worden gehanteerd: 
een nieuwe gemeentelijke taak; 
aanleg van een groot databestand; 

verwerking van bijzondere persoonsgegevens (zoals in de zorg); 

aanschaf van een nieuw ICT-systeem; 

systematische gegevensuitwisseling met een externe. 

In het geval sprake is van één of meerdere indicatoren, kan de uitvoering van een (externe) PIA in 
de rede liggen. 

2.5 En nu in de praktijk 

Privacybeleid draait in essentie om het treffen van de juiste balans tussen bescherming van de persoon¬ 
lijke levenssfeer van inwoners, de risico's op een inbreuk, de kosten die aan de te treffen maatregelen 
zijn verbonden en de mogelijkheid om op goede wijze uitvoering te geven aan onze publieke taken. 
Alphen aan den Rijn is zich ervan bewust dat alleen wet- en regelgeving of het opstellen van be¬ 
leid niet voldoende is. Het belang van privacy is onderdeel van het DNA van de gemeentelijke organi¬ 
satie en haar medewerkers. Om die reden wordt aan het privacybeleid een algemeen privacyprotocol 
voor medewerkers gekoppeld (vgl. 7.1). Verder wordt door middel van workshops, trainingen en op 
dagelijkse basis aandacht besteed aan het belang van privacybescherming. Dit alles om het privacybe- 
wustzijn onder medewerkers verderte vergroten. De gemeente Alphen aan den Rijn doet in dit kader ook 
een beroep op de integriteit van haar medewerkers. 


Artikel 3. Governance 

3.1 De eindverantwoordelijke 

De eindverantwoordelijkheid voor gegevensverwerking berust in de publieke sector in het algemeen 
bij het bevoegde bestuursorgaan. In het merendeel van de gevallen is bij de gemeente Alphen aan den 
Rijn het college eindverantwoordelijke voor de verwerking van persoonsgegevens. Er zijn echter ook 
verwerkingen waarvoor de burgemeester of gemeenteraad de eindverantwoordelijkheid draagt. 

Het onderhavige privacybeleid is van toepassing op het college, de burgemeester en de overige onder¬ 
delen van de gemeentelijke dienst. Het beleid is ook van toepassing in geval van uitwisseling van infor¬ 
matie tussen verschillende onderdelen van de gemeente, met andere gemeenten en organisaties en 
bij de uitbesteding van publieke taken. Ook dan ligt de eindverantwoordelijkheid voor zorgvuldige ge¬ 
gevensverwerking (veelal) bij het college. Ook waar in het openbaar over individuele gevallen wordt ge¬ 
sproken, wordt stil gestaan bij de vraag hoe om te gaan met eventuele persoonsgegevens en de eer¬ 
biediging van de persoonlijke levenssfeer. 

3.2 Eindverantwoordeiijk dus ook verantwoording afleggen 

Zoals het college verantwoording moet afleggen over de gemeentelijk uitgaven, wordt ook verantwoor¬ 
ding afgelegd over de realisatie van beleid. Dit geldt ook voor het privacybeleid en de toepassing 
daarvan. Er kan voor gekozen worden het privacybeleid onderdeel te maken van de jaarrekening en 
dan op te nemen in de paragraaf bedrijfsvoering. 

Het afleggen van verantwoording doet overigens niet af aan de algemene informatieplicht 
van het college en de burgemeester afzonderlijk. Het college meldt bijzonderheden ten aanzien 
van gegevensverwerking, te denken valt aan een inbreuk op of verlies van persoonsgegevens, afzon¬ 
derlijk en proactief aan de raad. 

3.3 Van dag tot dag - controle en toezicht 

Het uitgangspunt is om, ook in het kader van de vergroting van het privacybewustzijn, de verantwoor¬ 
delijkheid zo dicht mogelijk bij de medewerkers te beleggen. De verantwoordelijkheid voor de uitvoering 
van het beleid is daarom bij de managers van de verschillende afdelingen binnen de gemeente Alphen 
aan den Rijn belegd. Elke manager is verantwoordelijk voor de zorgvuldige verwerking van persoons¬ 
gegevens die binnen zijn of haar afdeling plaatsvindt. Zo nodig geeft een afdelingsmanager aan deze 
verantwoordelijkheid invulling door taken verder in zijn afdeling te beleggen. Indien een verwerking 
een afdelingsoverstijgend karakter heeft en betrekking heeft op twee of meer afdelingen ligt de verant¬ 
woordelijkheid bij de betreffende proceseigenaar. 

Vanwege het grote belang dat de gemeente Alphen aan den Rijn hecht aan privacybescherming en ter 
voorkoming van versnippering van het beleid, zal de privacyfunctie binnen de afdeling JZI worden be¬ 
legd. De privacyfunctionaris zal toezicht houden op de naleving van de uit de Wbp voortvloeiende eisen. 
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maar ook op de implementatie en toepassing van het privacybeleid. De privacyfunctionaris houdt een 
register bij van de verschillende meldingsplichtige gegevensverwerkingen en de door de gemeente 
gesloten bewerkersovereenkomsten, convenanten en privacyprotocollen. Daarnaast vervult de priva¬ 
cyfunctionaris een rol waar het gaat om advisering in specifieke kwesties of bij de totstandkoming 
van nieuw beleid of wet- en regelgeving. Ook bij calamiteiten of geconstateerde gebreken ligt het op 
de weg van de privacyfunctionaris om de benodigde maatregelen te treffen. De privacyfunctionaris rap¬ 
porteert zo nodig rechtstreeks aan het college. Met deze invulling anticipeert de gemeente Alphen aan 
den Rijn op de Europese Algemene Verordening Gegevensbescherming. 


4. Algemene beginselen 

4.1 De Wet bescherming persoonsgegevens tenzij 

Bij de verwerking van persoonsgegevens voldoet de gemeente Alphen aan den Rijn, gelet op de Wbp, 
minimaal aan de volgende eisen: 

Rechtmatige verwerking (artikel 6 Wbp) 

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige 
wijze verwerkt. 

Grondslag en doelbinding (artikelen 7 t/m 9 Wbp) 

De gemeente Alphen aan den Rijn zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, 
uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. 

Evenredigheid en betrouwbaarheid (artikel 11 Wbp) 

Het doel waarvoor de gemeente Alphen aan den Rijn persoonsgegevens verzamelt en verwerkt, 
is bepalend voor de hoeveelheid en soort gegevens die onderwerp van verwerking mogen vor¬ 
men. Met het oog op dat specifieke doel, moet de verwerking toereikend, ter zake dienend en niet 
bovenmatig maar ook juist en nauwkeurig zijn. 

Vertrouwelijkheid en geheimhouding (artikel 12 Wbp) 

Iedereen die handelt onder het gezag van het college of van een door de gemeente ingeschakel¬ 
de bewerker, maar ook de bewerker zelf, verwerkt alleen in opdracht van het college persoonsge¬ 
gevens (met uitzondering van afwijkende wettelijke verplichtingen). Als niet reeds uit hoofde van 
ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, dan is betrokkene op grond 
van artikel 12, lid 2 van de Wbp verplicht tot geheimhouding. 

Beveiliging (artikel 13 Wbp) 

Op de gemeente Alphen aan den Rijn rust de verplichting door technische en organisatorische maat¬ 
regelen te waarborgen dat onbevoegde toegang tot en onbevoegd gebruik van gegevens 
wordt voorkomen. De gemeente Alphen aan den Rijn treft dan ook redelijke waarborgen ter 
voorkoming daarvan. 

Rechtmatige bewaartermijnen (artikel 10 Wbp) 

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk om het doel te realise¬ 
ren (los van eventuele archivering). 

Melding (artikelen 27 t/m 29 Wbp) 

Geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens voor een be¬ 
paald doeleinde moeten worden gemeld bij het College bescherming persoonsgegevens (Cbp) 
of bij de door de gemeente aangewezen privacyfunctionaris, tenzij de verwerking is vrijgesteld. 
(Specifieke bewerkingen, zoals cameratoezicht ten behoeve van de openbare orde, kennen geen 
meldingsplicht. Cameratoezicht op de werkplek daarentegen, is onder voorwaarden vrijgesteld 
van de meldingsplicht, maar dat is derhalve niet altijd het geval.) 

Informeren (artikelen 33 en 34 Wbp) 

De gemeente Alphen aan den Rijn informeert betrokkene(n) over de persoonsgegevens die de 
gemeente over hem of haar verwerkt en voor welk doel dat gebeurt, een en ander in lijn 
met het bepaalde in artikel 33 en 34 Wbp. Deze informatieverplichting geldt niet als de betrokkene al 
op de hoogte is van de gegevensverwerking. Denk daarbij aan persoonsgegevens die voor het 
aanvragen van een vergunning worden verwerkt en door de aanvrager zelf zijn verstrekt. 

Inzage- en correctierecht (artikelen 35 t/m 39 Wbp) 

Alphen aan den Rijn geeft in voorkomende gevallen gehoor aan het recht op inzage en/of correctie 
van de persoonsgegevens van een betrokkene. 
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Deze beginselen worden hierna uitgewerkt in de paragrafen informatieveiligheid (achter 5), bewaarter¬ 
mijnen (achter 6), werken met, uitwisselen met en uitvoeren door (achter 7) en positie en rechten van 
de burger (achter 8). 


5. Informatieveiligheid 

5.1 Veilig in een specifieke context 

Op onze gemeente rust de verplichting door technische en organisatorische maatregelen te waarbor¬ 
gen dat onbevoegde toegang tot en onbevoegd gebruik van persoonsgegevens wordt voorkomen. De be¬ 
scherming van (gevoelige) persoonsgegevens en overige informatie is waar het uiteindelijk om 
gaat. Hoe gevoeliger de informatie is, des te meer en strengere maatregelen moeten worden getrof¬ 
fen. Anders gezegd, de maatregelen moeten een passend beveiligingsniveau garanderen. Dit bete¬ 
kent dat de maatregelen in overeenstemming moeten zijn met de risico's van de verwerking en de 
(gevoelige) aard van de gegevens. Daarbij wordt rekening gehouden met de stand van de techniek 
en de kosten van maatregelen. 

5.2 Informatiebeveiligingsbeleid 

De gemeente Alphen aan den Rijn hecht grote waarde aan de veiligheid van de verwerking en de opslag 
van persoonsgegevens. Informatiebeveiliging betreft niet alleen beschikbaarheid en continuï¬ 
teit, maar ook exclusiviteit en vertrouwelijkheid. Informatie hoort alleen toegankelijk te zijn voor degenen 
die hiertoe geautoriseerd zijn. Dit komt voort uit de BIG (Baseline Informatiebeveiliging Nederlandse 
Gemeenten). Op basis van deze Baseline heeft ons college onlangs het Informatiebeveiligingsbeleid 
2014-2018 opgesteld en een actualisering daarvan is in voorbereiding.. Dit beleid is voorts vertaald in 
concrete maatregelen. Het informatiebeveiligingsbeleid en bijbehorende maatregelen zijn van toepas¬ 
sing op alle gegevensverwerkingen binnen de gemeente. Aanvullend verricht de gemeente Alphen aan 
den Rijn risicoanalyses, en zal waar nodig extra maatregelen treffen. Het Informatiebeveiligingsbeleid 
biedt ook de handvatten voor fysieke beveliging van de digitale informatie. 

5.3 Calamiteiten en meldplicht 

In het geval zich onverhoopt een calamiteit voordoet met betrekking tot gegevensverwerking, neemt 
de gemeente haar verantwoordelijkheid. Het college neemt maatregelen om de gevolgen van de cala¬ 
miteit te beperken en voorts om herhaling te voorkomen. Met calamiteit wordt gedoeld op een ernstige 
inbreuk op de systemen, verlies of onrechtmatige verwerking van persoonsgegevens. Meldingen hier¬ 
omtrent zullen, na zijn aanstelling, in ieder geval bij de privacyfunctionaris worden gedaan. De privacy¬ 
functionaris neemt, na inwerkingtreding van het wetsvoorstel meldplicht datalekken, de vereiste melding 
aan het Cbp (en in voorkomende gevallen aan betrokken) voor zijn rekening. Geconstateerde of vermoe¬ 
de beveiligingslekken en -incidenten moeten worden gemeld bij de functionaris informatiebeveiliging. 


6. Bewaartermijnen 

6.1 Bewaren en vernietigen 

In de Wbp is bepaald dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is 
ter realisatie van het doel waarvoor ze zijn verkregen. Als de wet bewaartermijnen bevat, zijn deze van¬ 
zelfsprekend leidend. Vaak is echter geen vastgestelde termijn van toepassing en geldt alleen de alge¬ 
mene regel uit de Wbp. 

Wij zijn ons ervan bewust dat, vooral waar het gevoelige gegevens betreft, het voor de betrokkene 
van belang is te weten hoe lang deze gegevens bewaard worden,. Waar alleen de algemene regel uit 
de Wbp geldt, kan de gemeente Alphen aan den Rijn (veelal het college) een meer specifieke bewaar¬ 
termijn vaststellen. Het college gaat daartoe over indien het soort gegevens en/of de verwerking daar¬ 
van daar om vragen. Het college communiceert vervolgens de bewaartermijnen met haar inwoners 
via een publicatie op intranet. 

Op de archivering van bescheiden van de gemeente Alphen aan den Rijn is de Archiefwet 1995 van 
toepassing. De op deze wet gebaseerde Archieflijst met specifieke bewaartermijnen zorgt voor een 
verdere detailliering hiervan. 


7. Werken met.., uitwisselen met... en uitvoeren door... 

7.1 Privacy op de werkvloer en als onderdeel van het werkproces 

Privacybeleid moet niet beperkt blijven tot het formuleren van uitgangspunten en door het college na 
te streven doelen. Alle medewerkers van de gemeente Alphen aan den Rijn dragen in de prak¬ 
tijk zorg voor de eerbiediging van de persoonlijke levenssfeer bij de verwerking van persoonsgege- 
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vens. Dit gaat bijvoorbeeld om medewerkers van het Serviceplein, maar ook medewerkers van de af¬ 
deling Uitvoering en Service of Publieksdienstverlening. De medewerkers zijn, in verschillende mate 
en vormen, op dagelijkse basis bezig met gegevensverwerking. Respect voor en bescherming van de 
persoonlijke levenssfeer moet dan ook zijn weerslag krijgen in de door hen te hanteren werkwijze(n). 
Het college stelt daarom een algemeen privacy protocol voor alle medewerkers van de gemeente Alphen 
aan den Rijn op. 

Dit protocol bevat met name praktische richtsnoeren (zelfs samengevat in de tien gouden regels) 
om op een vertrouwelijke en zorgvuldige manier gegevens te verwerken. Te denken valt aan het afsluiten 
van een systeem na voltooiing van de verwerking, clean desk beleid, thuiswerken/ het nieuwe wereken 
of een werkwijze in het geval zich een calamiteit voordoet. Juist als zich onverhoopt een probleem voor¬ 
doet bij gegevensverwerking, moet er adequaat worden gehandeld en moet dus voor medewerkers dui¬ 
delijk zijn wat te doen. Dit is gerelateerd aan de wijze waarop wij integer en velig willen handelen, zodat 
de verbinding met de gedragscodes voor integriteit voor de hand ligt. De privacyfunctionaris houdt 
toezicht op de naleving van dit protocol. 

7.2 Uitwisseling met en (intergemeentelijke) samenwerking met derden 

Het college en de verschillende afdelingsmanagers zullen verder stimuleren dat voor veel voorkomende 
of intensief gebruikte processen, door de betreffende afdeling een werkprocedure wordt opgesteld, 
waarin voor dat specifieke proces wordt opgenomen hoe met gegevensverwerking en privacygevoelige 
informatie wordt omgegaan. 

Indien er sprake is van structurele uitwisseling of samenwerking met een externe organisatie of ande¬ 
re gemeente(n), maakt de gemeente Alphen aan den Rijn vooraf afspraken over gegevensuitwisseling. 
Het college (of andere verantwoordelijke) blijft ook in deze gevallen de verantwoordelijkheid dragen voor 
de gegevensverwerking, die in het kader van het uitwisselings- of samenwerkingsverband wordt uitge¬ 
voerd. Door afspraken te maken, bij voorkeur in de vorm van een convenant, is het ook mogelijk om 
deze verantwoordelijkheid uit te oefenen. 

Het hoofd van de afdeling die een dergelijke samenwerking of uitwisseling aangaat, ziet toe op 
de totstandkoming van deze afspraken. Eerdergenoemde privacyfunctionaris ziet toe op de naleving daar¬ 
van. 

7.3 Uitbesteding of inschakeling derde 

Als de gemeente Alphen aan den Rijn een externe vraagt voor haar gegevens te verwerken is het col¬ 
lege ingevolge artikel 14 van de Wbp verplicht met die externe een bewerkersovereenkomst te sluiten. 
Hiervan is bijvoorbeeld sprake bij de uitbesteding van gemeentelijke taken of de inschakeling van 
een derde bij de bewerking van persoonsgegevens. In voorkomende gevallen zullen wij ook een samen¬ 
werkingsovereenkomst afsluiten waarin de zorgvuldige verwerking van persoonsgegevens (mede) 
ter uitvoering van gemeentelijke taken is geregeld.. 

Gelijk als bij uitwisseling en samenwerking, is het afsluiten van een samenwerkings- of bewerkingsover- 
eenkomst de verantwoordelijkheid van de betrokken afdelingsmanager. De privacyfunctionaris 
houdt toezicht op de naleving. Daarnaast houdt de privacyfunctionaris een register bij waarin alle sa¬ 
menwerkings- en bewerkingsovereenkomsten zijn opgenomen. 


8. Positie en rechten van de burger 

8.1 Wat zegt de Wbp? 


Voor de gemeente Alphen aan den Rijn staat transparantie bij de verwerking van persoonsgegevens 
voorop. Een betrokkene moet kort gezegd worden geïnformeerd welke hem of haar betreffende per¬ 
soonsgegevens door de gemeente worden verwerkt en voor welk doel. Daarnaast moet, voor zover dat 
nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen, ook na¬ 
dere informatie worden verstrekt. De gemeente Alphen aan den Rijn voldoet mondeling, schriftelijk 
dan wel elektronisch aan deze informatieverplichting. 

De gemeente Alphen aan den Rijn geeft in voorkomend geval gehoor aan inzage- en/of correctieverzoe- 
ken. Iedere betrokkene heeft het recht op informatie over persoonsgegevens ten behoeve van welk(e) 
doel(en) over hem of haar worden verwerkt (inzage), maar ook om deze gegevens te verbeteren, aan 
te vullen, te verwijderen of af te schermen, als deze feitelijk onjuist, onvolledig of niet ter zake dienend 
zijn (correctie). 

8.2 Eén loket 

De gemeente Alphen aan den Rijn vindt het van groot belang dat inwoners, en andere betrokkenen op 
eenvoudige wijze een vraag kunnen stellen over privacy gerelateerde onderwerpen of, waar nodig, hun 
recht kunnen halen. Daarvoor is het van belang dat inwoners op de hoogte zijn van hun rechten, 
maar ook dat op eenvoudige wijze informatie kan worden achterhaald of een vraag kan worden gesteld. 
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Ook hecht de gemeente Alphen aan den Rijn aan vooraf en proactief informeren van haar inwoners. 
Het college geeft hier uitvoering aan. 

Ter uitvoering van deze uitgangspunten, hanteert de gemeente Alphen aan den Rijn het zgn. 'click, call, 
face' beleid. Informatie moet in eerste instantie toegankelijk zijn via de website. Als dit geen uitkomst 
biedt, kan ofwel digitaal of telefonisch om nadere informatie worden verzocht. Als ook dit niet voldoende 
blijkt, wordt de mogelijkheid geboden een afspraak te maken. 

De gemeente Alphen aan den Rijn richt één centraal loket (digitaal) op waar inwoners en andere betrok¬ 
kenen met vragen, verzoeken of eventuele klachten omtrent privacy terecht kunnen. Hierin is ook een 
rol weggelegd voor de reeds bestaande klachtfunctionaris. In lijn met de algemene uitgangspunten, 
zullen eventuele klachten of andere verzoeken met betrekking tot gegevensverwerking worden afgehan¬ 
deld conform het bestaande klachtenproces. Het loket fungeert daarmee als frontoffice. 


9. Gebruikte afkortingen 

AVG Algemene Verordening Gegevensbescherming (de Europese verordening voor gegevensbescher¬ 
ming, heeft directe werking en vervangt daarmee alle nationale wetgeving op privacygebied (treedt 
naar verwachting in 2018 in werking) 

BIG Baseline Informatiebeveiliging Nederlandse Gemeenten 

BRP Basis Registratie Personen. In de Basisregistratie personen (BRP) worden de persoonsgegevens 
bijgehouden van iedereen die in Nederland woont. Ook de persoonsgegevens van mensen in het bui¬ 
tenland die een relatie hebben met de Nederlandse overheid staan erin 
CBP College Bescherming Persoonsgegevens 
Wbp Wet bescherming persoonsgegevens 
PIA Privacy Impact assesment 

Vastgesteld door het college van burgemeester en wethouders van Alphen aan den Rijn op 7 juli 2015, 
de secretaris, de burgemeester. 
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